Un’intrusione informatica prolungata e silenziosa ha colpito uno dei nodi tecnologici più delicati della macchina pubblica italiana. Per circa venti giorni, un gruppo di hacker è riuscito a penetrare i sistemi di una società del gruppo Ibm, attiva nella gestione di infrastrutture digitali per la Pubblica amministrazione, aprendo interrogativi profondi sulla resilienza del sistema Paese e sulla natura sempre più geopolitica delle minacce cyber. E, più nello specifico, sulle informazioni estorte e su come queste possano essere sfruttate.

I fatti

Secondo le ricostruzioni emerse, l’accesso illecito avrebbe riguardato piattaforme e servizi utilizzati da enti centrali, tra cui Inps e Inail, oltre a sistemi legati alla gestione di progetti e contratti connessi al Piano nazionale di ripresa e resilienza. La durata dell’intrusione è un elemento chiave:  si tratterebbe di una presenza prolungata persistente all’interno delle reti, compatibile con attività di ricognizione e raccolta di informazioni sensibili.

Non è ancora chiaro quale sia l’effettiva quantità di dati sottratti, né se vi sia stata una successiva diffusione o commercializzazione delle informazioni, e la modalità operativa lascia pochi dubbi sulla natura dell’operazione. 

Non emergono segnali di sabotaggio o interruzione dei servizi. Al contrario, tutto indica un’azione condotta con l’obiettivo di osservare, mappare e acquisire dati senza alterare l’equilibrio dei sistemi compromessi. 

L’attribuzione

In questo quadro si inserisce l’ipotesi investigativa che porta al gruppo noto come Salt Typhoon, già associato a operazioni analoghe, molte delle quali negli Stati Uniti.  Si tratta di un attore classificabile come Advanced Persistent Threat, ovvero una struttura altamente organizzata e dotata di capacità tecniche sofisticate, spesso riconducibile (direttamente o indirettamente) a Pechino. 

Negli ultimi anni, campagne attribuite al gruppo hacker cinese hanno colpito infrastrutture di telecomunicazione e reti governative occidentali, con un approccio mirato alla penetrazione di lungo periodo più che alla distruzione immediata, con la possibile estensione di questo schema operativo al contesto italiano.

Le contromisure

La reazione della società coinvolta e delle autorità competenti si è concentrata sull’attivazione dei protocolli di sicurezza e sull’isolamento dei sistemi, con il coinvolgimento dell’Agenzia per la Cybersicurezza Nazionale.  Resta la finestra temporale in cui l’intrusione è rimasta inosservata: venti giorni rappresentano un tempo significativo, soprattutto se si considera il livello di sensibilità delle infrastrutture interessate.

Una panoramica

Negli Stati Uniti, operazioni attribuite allo stesso gruppo hanno interessato grandi operatori come Verizon e AT&T, consentendo agli attaccanti di accedere a reti di comunicazione strategiche e, in alcuni casi, di intercettare flussi informativi sensibili. Il parallelismo suggerisce un modello operativo replicabile e adattabile a diversi contesti nazionali.

Sul piano strategico, i fatti evidenziano non poche fragilità. Tra queste, la crescente dipendenza da grandi fornitori tecnologici globali amplia la superficie di attacco; mentre la capacità di rilevare intrusioni sofisticate appare ancora disomogenea.

Soprattutto, emerge con chiarezza come la sicurezza digitale rappresenti una componente essenziale e non trascurabile della sicurezza nazionale. Le infrastrutture civili, e in particolare quelle legate alla gestione dei dati pubblici, sono ormai al centro del confronto ibrido e geopolitico, rendendo la capacità di anticipare le minacce e ridurre i tempi di rilevazione fattori decisivi nei settori pubblici tanto quanto nei settori privati e, al contempo, per il perimetro della sicurezza nazionale.